网页安全漏洞检测 - 隐藏字段 - 网站安全 - 自学

 一些设计不当的网站系统可能包含很多可以被利用的安全 漏洞 ，这些安全漏洞如同给远程攻击者开了一个后门，让攻击者可以方便地进行某些恶意的攻击。例如，公共漏洞和披露网站CVE（Common Vulnerabilities and Exposures）公布了Element InstantShop中的Web网页add_2_basket. asp 的一个漏洞项，允许远程攻击者通过隐藏的表单变量[price]来修改价格信息。这个表单的形式如下所示：

 

 

<INPUT TYPE = HIDDEN NAME = "id" VALUE = "AUTO0034">

<INPUT TYPE = HIDDEN NAME = "product" VALUE = "BMW545">

<INPUT TYPE = HIDDEN NAME = "name" VALUE = "Expensive Car">

<INPUT TYPE = HIDDEN NAME = "price" VALUE = "100">

 

 

利用这个漏洞，不怀好意者可以任意设定price字段的值，然后提交给InstantShop网站的后台服务器，从而可能用100美元就可以获得一部BMW545。

 

 

技巧：发现类似的安全漏洞的最好方法是进行代码审查。除了代码审查，测试人员还可以利用一些测试工具进行检查，例如：Paessler Site Inspector、Web Developer等。​

 

查看更多关于网页安全漏洞检测 - 隐藏字段 - 网站安全 - 自学的详细内容...